Cafodd hacwyr fynediad i brif weinydd post y cwmni rhyngwladol Deloitte. Roedd cyfrif gweinyddwr y gweinydd hwn wedi'i warchod gan gyfrinair yn unig.
Derbyniodd yr ymchwilydd annibynnol o Awstria David Wind wobr o $5 am ddarganfod bregusrwydd yn nhudalen mewngofnodi mewnrwyd Google.
Mae 91% o gwmnïau Rwsia yn cuddio gollyngiadau data.
Gellir dod o hyd i newyddion o'r fath bron bob dydd mewn ffrydiau newyddion Rhyngrwyd. Mae hyn yn dystiolaeth uniongyrchol bod yn rhaid diogelu gwasanaethau mewnol y cwmni.
A pho fwyaf yw'r cwmni, y mwyaf o weithwyr sydd ganddo a'r mwyaf cymhleth yw ei seilwaith TG mewnol, y mwyaf dybryd yw problem gollwng gwybodaeth ar ei gyfer. Pa wybodaeth sydd o ddiddordeb i ymosodwyr a sut i'w diogelu?
Pa fath o ollyngiad gwybodaeth a allai niweidio'r cwmni?
- gwybodaeth am gleientiaid a thrafodion;
- gwybodaeth dechnegol am gynnyrch a gwybodaeth;
- gwybodaeth am bartneriaid a chynigion arbennig;
- data personol a chyfrifo.
Ac os ydych chi'n deall bod rhywfaint o wybodaeth o'r rhestr uchod ar gael o unrhyw segment o'ch rhwydwaith dim ond ar ôl cyflwyno mewngofnodi a chyfrinair, yna dylech feddwl am gynyddu lefel diogelwch data a'i ddiogelu rhag mynediad heb awdurdod.
Mae dilysu dau ffactor gan ddefnyddio cyfryngau cryptograffig caledwedd (tocynnau neu gardiau smart) wedi ennill enw da am fod yn ddibynadwy iawn ac ar yr un pryd yn eithaf hawdd i'w defnyddio.
Rydym yn ysgrifennu am fanteision dilysu dau ffactor ym mron pob erthygl. Gallwch ddarllen mwy am hyn mewn erthyglau am и .
Yn yr erthygl hon, byddwn yn dangos i chi sut i ddefnyddio dilysu dau ffactor i fewngofnodi i byrth mewnol eich sefydliad.
Er enghraifft, byddwn yn cymryd y model mwyaf addas ar gyfer defnydd corfforaethol, Rutoken - tocyn USB cryptograffig .
Gadewch i ni ddechrau gyda'r setup.
Cam 1 - Gosod Gweinydd
Sail unrhyw weinydd yw'r system weithredu. Yn ein hachos ni, dyma Windows Server 2016. Ac ynghyd ag ef a systemau gweithredu eraill o'r teulu Windows, mae IIS (Gwasanaethau Gwybodaeth Rhyngrwyd) yn cael ei ddosbarthu.
Mae IIS yn grŵp o weinyddion Rhyngrwyd, gan gynnwys gweinydd gwe a gweinydd FTP. Mae IIS yn cynnwys cymwysiadau ar gyfer creu a rheoli gwefannau.
Mae IIS wedi'i gynllunio i adeiladu gwasanaethau gwe gan ddefnyddio cyfrifon defnyddwyr a ddarperir gan barth neu Active Directory. Mae hyn yn eich galluogi i ddefnyddio cronfeydd data defnyddwyr presennol.
В Disgrifiwyd yn fanwl sut i osod a ffurfweddu'r Awdurdod Ardystio ar eich gweinydd. Nawr ni fyddwn yn canolbwyntio ar hyn yn fanwl, ond byddwn yn tybio bod popeth eisoes wedi'i ffurfweddu. Rhaid cyhoeddi'r dystysgrif HTTPS ar gyfer y gweinydd gwe yn gywir. Mae'n well gwirio hyn ar unwaith.
Daw Windows Server 2016 gyda fersiwn IIS 10.0 wedi'i ymgorffori.
Os gosodir IIS, yna'r cyfan sydd ar ôl yw ei ffurfweddu'n gywir.
Ar y cam o ddewis gwasanaethau rôl, fe wnaethom wirio'r blwch Dilysu sylfaenol.
Yna i mewn Rheolwr Gwasanaethau Gwybodaeth Rhyngrwyd wedi'i gynnwys Dilysu sylfaenol.
A nododd y parth y mae'r gweinydd gwe wedi'i leoli ynddo.
Yna fe wnaethom ychwanegu dolen safle.
A dewisodd yr opsiynau SSL.
Mae hyn yn cwblhau gosodiad y gweinydd.
Ar ôl cwblhau'r camau hyn, dim ond defnyddiwr sydd â thocyn gyda thystysgrif a PIN tocyn fydd yn gallu cyrchu'r wefan.
Rydym yn eich atgoffa unwaith eto bod yn ôl , Yn flaenorol, cyhoeddwyd tocyn gydag allweddi i'r defnyddiwr a chyhoeddwyd tystysgrif yn unol â thempled fel Defnyddiwr gyda cherdyn smart.
Nawr, gadewch i ni symud ymlaen i sefydlu cyfrifiadur y defnyddiwr. Dylai ffurfweddu'r porwyr y bydd yn eu defnyddio i gysylltu â gwefannau gwarchodedig.
Cam 2 - Sefydlu cyfrifiadur y defnyddiwr
Er mwyn symlrwydd, gadewch i ni dybio bod gan ein defnyddiwr Windows 10.
Gadewch i ni hefyd dybio ei fod wedi gosod y cit .
Mae gosod set o yrwyr yn ddewisol, gan y bydd cefnogaeth fwyaf tebygol i'r tocyn yn cyrraedd trwy Windows Update.
Ond os na fydd hyn yn digwydd yn sydyn, yna bydd gosod set o Gyrwyr Rutoken ar gyfer Windows yn datrys yr holl broblemau.
Gadewch i ni gysylltu'r tocyn i gyfrifiadur y defnyddiwr ac agor y Panel Rheoli Rutoken.
Yn y tab Tystysgrifau Ticiwch y blwch wrth ymyl y dystysgrif ofynnol os na chaiff ei wirio.
Felly, gwnaethom wirio bod y tocyn yn gweithio a'i fod yn cynnwys y dystysgrif ofynnol.
Mae pob porwr ac eithrio Firefox wedi'i ffurfweddu'n awtomatig.
Nid oes angen i chi wneud unrhyw beth arbennig gyda nhw.
Nawr agorwch unrhyw borwr a nodwch y cyfeiriad adnodd.
Cyn i'r wefan lwytho, bydd ffenestr yn agor ar gyfer dewis tystysgrif, ac yna ffenestr ar gyfer nodi'r cod PIN tocyn.
Os dewisir Aktiv ruToken CSP fel y darparwr crypto diofyn ar gyfer y ddyfais, yna bydd ffenestr arall yn agor i nodi'r cod PIN.
A dim ond ar ôl ei nodi'n llwyddiannus yn y porwr y bydd ein gwefan yn agor.
Ar gyfer porwr Firefox, rhaid gwneud gosodiadau ychwanegol.
Yng ngosodiadau eich porwr dewiswch Preifatrwydd a Diogelwch. Yn adran Tystysgrifau i wthio Dyfais Diogelu... Bydd ffenestr yn agor Rheoli dyfeisiau.
Gwasgwch Dadlwythwch, nodwch yr enw Rutoken EDS a'r llwybr C:windowssystem32rtpkcs11ecp.dll.
Dyna ni, mae Firefox bellach yn gwybod sut i drin y tocyn ac yn caniatáu ichi fewngofnodi i'r wefan gan ei ddefnyddio.
Gyda llaw, mae mewngofnodi gan ddefnyddio tocyn i wefannau hefyd yn gweithio ar Macs yn y porwr Safari, Chrome a Firefox.
Does ond angen i chi osod Rutoken o'r wefan a gweld y dystysgrif ar y tocyn ynddo.
Nid oes angen ffurfweddu porwr Safari, Chrome, Yandex a phorwyr eraill; y cyfan sydd angen i chi ei wneud yw agor y wefan yn unrhyw un o'r porwyr hyn.
Mae'r porwr Firefox wedi'i ffurfweddu bron yr un fath ag yn Windows (Gosodiadau - Uwch - Tystysgrifau - Dyfeisiau diogelwch). Dim ond y llwybr i'r llyfrgell sydd ychydig yn wahanol /Library/Akitv Co/Rutoken ECP/lib/librtpkcs11ecp.dylib.
Canfyddiadau
Fe wnaethom ddangos i chi sut i sefydlu dilysiad dau ffactor ar wefannau gan ddefnyddio tocynnau cryptograffig. Fel bob amser, nid oedd angen unrhyw feddalwedd ychwanegol arnom ar gyfer hyn, ac eithrio llyfrgelloedd system Rutoken.
Gallwch chi wneud y weithdrefn hon gydag unrhyw un o'ch adnoddau mewnol, a gallwch hefyd ffurfweddu grwpiau defnyddwyr yn hyblyg a fydd â mynediad i'r wefan, yn union fel unrhyw le arall yn Windows Server.
Ydych chi'n defnyddio OS gwahanol ar gyfer y gweinydd?
Os ydych chi am i ni ysgrifennu am sefydlu systemau gweithredu eraill, yna ysgrifennwch amdano yn y sylwadau i'r erthygl.
Ffynhonnell: hab.com